漏洞概述 该漏洞存在于 AVideo 的 EPG (Electronic Program Guide) 功能中。该功能解析来自用户控制URL的XML文件,并将节目标题直接渲染为HTML,未进行任何转义或清理。攻击者若拥有上传权限,可将视频的 参数指向恶意XML文件。当任何未授权用户访问公共EPG页面时,恶意载荷将在其浏览器中执行,导致会话劫持和账户接管。 影响范围 受影响包: (Composer) 受影响版本: CVSS评分: 5.4 (中等) 攻击向量: 网络 (Network) 权限要求: 攻击者需具备上传权限 (Upload permission),受害者无需权限。 后果: 会话劫持: 任何访问者的会话Cookie被窃取。 账户接管: 被盗的管理员会话允许完全控制平台。 持久化: EPG页面输出被服务器端缓存,即使原始恶意XML被移除,XSS载荷仍会保留。 影响范围广: EPG页面公开可访问且无需认证。 修复方案 在 文件中,在将节目数据插入HTML之前,使用 进行转义。 修复代码示例: 此外,建议在 的解析阶段也进行清理以进行纵深防御。 POC (概念验证) Step 1: 在攻击者控制的URL上托管恶意XML文件 Step 2: 创建带有恶意EPG链接的视频(需要上传权限) Step 3: 任何访问者(未认证)浏览EPG页面将触发XSS (注: 载荷将在每个访问者的浏览器中执行,窃取Cookie和会话令牌)